lunedì 30 agosto 2010

MUMBLE - Utenti, il vero bersaglio grosso

Secunia, qualche giorno fa, ha pubblicato un interessante post sul proprio blog di sicurezza che riprende uno studio di inizio anno sulle vulnerabilità presenti mediamente nei client.

Ciò che emerge è davvero interessante e aiuta a fare alcune riflessioni.

Nella sostanza viene fuori che, per quanto riguarda il 50% dei casi degli utenti Microsoft, i PC ospitano una settantina di applicazioni sviluppate da almeno una ventina di vendor diversi. Questa mole di software comporta che, annualmente, i nostri computer siano esposti a oltre 400 vulnerabilità. Inoltre, la situazione è in netto peggioramento, e, durante i primi 6 mesi del 2010, Secunia ha pubblicato 380 vulnerabilità che interessano la media dei PC degli utenti, cioè l'89% delle vulnerabilità dell'intero 2009. 

Paranoici (come me) a parte, quanti utenti si fanno realmente carico di sanare queste vulnerabilità?

Mediamente abbastanza pochi; e quei pochi si concentrano soprattutto sugli aggiornamenti che sono collegati al sistema operativo (grazie agli "Aggiornamenti Automatici" di Microsoft) e a quei programmi che forniscono gli aggiornamenti in push. 

Quasi nessuno verifica periodicamente lo stato di aggiornamento della propria macchina e quasi nessuno si cura di avere sempre software all'ultima versione disponibile.

Questa tendenza è uno dei motivi alla base della semplicità con cui è possibile spargere malware e creare botnet.

Infatti, i cybercriminali, potendo disporre di un gran numero di vulnerabilità da sfruttare, hanno grande facilità ad aggirare i sistemi di sicurezza eventualmente installati dagli utenti e compromettere i PC degli utenti con ogni sorta di codice malevolo. La grande superficie di attacco data da questa mole di vulnerabilità presenti sulle macchine degli utenti rende il fenomeno delle vulnerabilità di tipo 0day un fenomeno residuale come ha messo perfettamente in evidenza Dancho Danchev in un recente articolo.

Questa situazione (come altre di cui mi sono occupato con i miei MUMBLE) è destinata a cambiare, penso infatti che sia del tutto insostenibile l'onere collegato agli aggiornamenti di cui gli utenti dovrebbero farsi carico. E, continuando in questo modo, malware, furti di identità, perdite economiche ed instabilità dei sistemi farebbero certamente crollare la fiducia degli utenti nel mezzo informatico.

Che il matrimonio tra Intel e McAfee sia un primo passo verso un nuovo paradigma della sicurezza?

Lo spero. 

Nel frattempo bisogna ricordarsi che i nostri PC (e i nostri smartphone) sono gli oggetti con cui accediamo alle nostre informazioni più importanti e che quindi la loro manutenzione merita tutta la nostra attenzione.

venerdì 27 agosto 2010

Una botnet resa inoffensiva... per ora

Fonte M86 Security
La notizia è di quelle che fanno piacere. 

L'infrastruttura di comando e controllo della rete di computer infetti nota come Pushdo / Cutwail è stata quasi totalmente distrutta dalle azioni coordinate portate a termine da TLLOD (The Last Line Of Defense). 

L'immediato effetto di questo "takedown" è stato registrato da M86 Security che, come si può vedere dall'immagine a fianco, ha registrato un crollo nello spam spedito attraverso questa rete.

Ma veniamo ai fatti... questa botnet, accreditata di circa un milione di computere schiavizzati e messa in funzione addirittura dal 2007, è responsabile di moltissime attività "malevole" ma è soprattutto specializzata nell'invio massivo di spam. 

La novità è che TLLOD, negli ultimi giorni, è stata in grado di analizzare approfonditamente l'infrastruttura di comando e controllo di Pushdo, identificando un totale di 30 server utilizzati per impartire gli ordini ai computer infetti. Questi 30 server sono sparsi per il mondo e sono collegati a otto differenti provider di hosting. TLLOD è stata in grado di mettere assieme una task force assieme a questi provider con l'obiettivo di mettere fuori uso questi server. Grazie a questa collaborazione sono stati eliminati oltre 20 server di comando e controllo. 

Speriamo davvero che anche gli altri provider che non hanno ancora dato la loro piena collaborazione diventino più sensibili e consentano di portare a termine il lavoro congiunto.

Vale la pena ricordare, però, che queste operazioni, peraltro utilissime e fondamentali, non sono definitive, in quanto colpiscono l'infrastruttura tecnologica della botnet e non le persone che ci sono dietro. 

E i "cattivi", si sa, non mollano mai.

venerdì 20 agosto 2010

Trojan: la minaccia non è solo virtuale

Il giornale spagnolo El Pais riporta la notizia che le autorità inquirenti che stanno investigando sul disastro aereo di Madrid del 2008 hanno scoperto che uno dei computer del sistema di monitoraggio dei problemi tecnici degli velivoli era infettato da un malware.

Sembra quindi che una possibile concausa di quella tragedia, in cui sono morte 154 persone, possa essere proprio il mancato allarme di malfunzionamento tecnico dovuto all'infezione del server di controllo.

Secondo El Pais, un rapporto interno della compagnia aerea ha rivelato che quel computer, situato presso la sede della compagnia aerea a Palma di Maiorca, avrebbe dovuto individuare tre problemi tecnici con l'aereo che, se fossero stati correttamente gestiti dal server, non avrebbero consentito il decollo.

Il Trojan quindi non ha causato direttamente l'incidente ma potrebbe aver contribuito a far decollare un aereo che non avrebbe mai dovuto lasciare il suolo.

Quando sarà consegnata la relazione finale a dicembre si avranno maggiori dettagli, quello che è certo è che problematiche simili sono purtroppo destinate ad aumentare a causa della sempre maggiore pervasività degli strumenti connessi in reti aperte.

Basti pensare agli hotspot che sono sugli aerei stessi, o a quelli che stanno per essere montati sulle prossime auto oppure a tutti i sistemi di sicurezza che vengono gestiti tramite client su Internet.

Speriamo che la sicurezza non sia relegata a problematica minore rispetto ai servizi erogati perché poi le conseguenze potrebbero essere deleterie.

mercoledì 18 agosto 2010

Smartphone? Attenti al Tapjacking

Pochi utenti di smartphone ne sono consapevoli, ma, navigare su Internet con il telefonino sta diventando molto pericoloso a causa di un nuovo tipo di attacco chiamato "Tapjacking" che ha come bersaglio proprio i browser degli smartphone.

Una ricerca presentata al Workshop on Offensive Technologies (WOOT) e al BlackHat 2010 da Elie Burszstein e da alcuni altri ricercatori della Stanford University, descrive nel dettaglio questo tipologia di attacco che trasporta sugli smartphone un ben noto attacco ormai da tempo presente sui browser dei PC, il "clickjacking". Come entrambi i nomi fanno capire, si tratta di un attacco che tenta di rubare i click (o i "Tap" nel caso degli smartphone) dell'utente per completare delle operazioni che l'utente non aveva intenzione di effettuare.

Nello specifico, questa tecnica di attacco è estremamente efficiente sugli smartphone a causa delle ridotte dimensioni dello schermo che rendono molto difficile per gli utenti capire su cosa si sta cliccando, inoltre, proprio per incrementare l'area utile nello schermo, la barra del browser è a scomparsa, eliminando quindi la principale fonte di informazioni per l'utente.

Diventa quindi possibile per un attaccante predisporre un sito web "malevolo" in modo tale che un utente sia convinto di cliccare su una risorsa della pagina Web che ha acceduto, mentre invece sta cliccando su un pulsante di una pagina nascosta che, ad esempio, ruba le password o conferma un trasferimento di denaro. 

Poiché il browser riempie di solito l'intero schermo del telefono cellulare, un aggressore può "disegnare tutto quello che vuole sullo schermo, e l'utente non può dire ciò che è reale e ciò che è stato inserito da un attaccante", dice Elie Bursztein. Questo trend, inoltre è destinato a peggiorare visto che sempre più utenti, attraverso i cellulari, visitano siti "a valore aggiunto", come banking, e-commerce e social network.

Ecco un video che dimostra in concreto come si svolge un attacco di questo tipo. In questo video si vede come un utente clicca su un bottone pensando di avviare un gioco e invece invia un messaggio su Twitter.

Visto il problema, è certo che sarà necessario un grande sforzo congiunto per cercare di trovare delle soluzioni efficaci.

mercoledì 11 agosto 2010

La via indiana alla cyberwar

Un recente articolo apparso sul IndiaTimes ha descritto una inusuale misura legislativa... la sostanziale amnistia per i reati di tipo cyber commessi da alcuni cittadini indiani. Questa insolita scelta ha in realtà uno scopo ben preciso, quello di aggregare un team di talenti informatici nel campo dell'hacking per iniziare un percorso che porti l'India ad essere in grado di difendersi (e attaccare) altre nazioni sul campo della cyberwar.

In sostanza è allo studio una modifica alla severa legge indiana contro la pirateria informatica in modo da consentire agli operatori dell'IT e agli ethical hackers che aderiranno a questa iniziativa "patriottica", di operare sotto un ombrello protettivo che li esenti dalle conseguenze del loro operato. Le competenze di questi professionisti saranno utilizzate per attività proattive nei confronti di potenziali stati attaccanti o anche per veri e propri attacchi cyber. 

Questa strategia è stata delineata il 29 luglio scorso, in un meeting sulla sicurezza presieduto dal consigliere per la sicurezza nazionale, Shiv Shankar Menon. Al meeting hanno partecipato anche il direttore dell'Intelligence Bureau, nonché alti funzionari del ministero delle comunicazioni, ministero e di alcune agenzie di sicurezza.

Questa scelta, probabilmente, deriva dall'aumento nel numero di attacchi a risorse informatiche governative e ai furti di documenti riservati operati dai "soliti" hacker cinesi.

Sembrerebbe, insomma, che l'India stia adottando un approccio intermedio tra quello "istituzionale" seguito dagli Stati Uniti ed uno più defilato come quello russo che "tollera" le attività degli hacktivist mossi da motivazioni patriottiche.

Chissà che non sia una scelta efficace...

sabato 7 agosto 2010

A tempo di... Report

In questi ultimi tempi sono stati pubblicati un corposo numero di Report e Whitepaper. Tra report di metà anno e pubblicazioni uscite nel corso del BlackHat e Defcon appena conclusi c'è veramente tanto materiale da leggere.

Ho quindi deciso di fare un breve cernita di quelli che ritengo più interessanti e darne una presentazione generale.

Verizon - Verizon ha presentato il proprio "Data Breach Investigations Report", realizzato sulla base di una collaborazione con i Servizi Segreti degli Stati Uniti (USSS). Nel report è rilevato che le violazioni di record elettronici avvenute l’anno scorso hanno implicato un maggior numero di minacce interne, un più ampio utilizzo del social engineering e un notevole coinvolgimento della criminalità organizzata.

SonicWall - SonicWall ha pubblicato ieri il proprio "Mid-Year Assessment of Top Cybercrime Threats for 2010" in cui vengono approfonditi i trend del cybercrime nell'ultimo anno, con particolare riferimento al phishing, allo spam, agli attacchi alle cloud e ad altre forme di cybercrime. Particolarmente curati i grafici e gli approfondimenti degli andamenti nel tempo dei vari fenomeni.

Barracuda Labs - I Barracuda Labs hanno predisposto il "2010 Midyear Security Report". In questo interessante report si analizzano le problematiche di sicurezza relative ai motori di ricerca e a Twitter. Su quest'ultima piattaforma ci sono veramente tante analisi e considerazioni molto approfondite. Da leggere anche la parte che tratta di malware in rapporto ai risultati dei motori di ricerca. 

GAO - il Government Accountability Office (GAO) ha pubblicato il Report "United States Faces Challenges in Addressing Global Cybersecurity and Governance" un resoconto molto approfondito che mette in evidenza una mancanza di una strtegia coerente e globale per la cybersecurity a livello di governo federale. Molto interessanti le 5 raccomandazioni finali per indirizzare le sfide identificate.

ISACA - ISACA infine ha pubblicato il Whitepaper "Securing mobile devices" sulla sicurezza degli smartphones. Questo White paper si sofferma sull'analisi delle minacce e delle contromisure connesse all'utilizzo di device mobili intelligenti in ambito enterprise. 

Se qualcuno vuole segnalarmi qualche report interessante che mi è sfuggito può scrivermi o lasciare un commento.

mercoledì 4 agosto 2010

Domandare è lecito, rispondere è cortesia

Cosi' mi diceva sempre mia nonna quando ero piccolo. E a questa prescrizione devono essersi attenuti gli impiegati e gli addetti di call center che sono stati contattati dai partecipanti alla gara di "social engineering" inserita all'interno dell'evento Defcon appena svolto negli States.

Ma procediamo con ordine...

I migliori hacker che si dedicano al social engineering si sono dati appuntamento al Defcon di quest'anno per una gara che prevedeva in premio un iPad a chi fosse riuscito a carpire le maggiori informazioni alle aziende Fortune 500 utilizzando solo... le parole!

I limiti che si sono autoimposti per la gara erano: di tempo (30 minuti appena) e di perimetro (niente dati critici e niente societa' finanziarie o enti governativi), per il resto... massima liberta' all'inventiva e alla capacita' di persuasione.

Purtroppo, gli hacker si sono dimostrati bravissimi e, in un mezz'ora scarsa, sono riusciti ad ottenere moltissime informazioni rilevanti ai fini della preparazione di un attacco. Ad esempio, in un caso, hanno ottenuto le configurazioni dei PC aziendali (sistema operativo: Windows XP, Service Pack 3 - antivirus: McAfee VirusScan 8.7 -e-mail: Outlook 2003 Service Pack 3 - browser: IE 6).

Le modalita' di attacco, da Kevin Mitnick in poi, sono abbastanza note. Uno dei partecipanti, ad esempio, un certo Wayne (senza cognome, ovviamente), ad esempio, ha raccontato di essere un consulente della KPMG e di dover svolgere un audit in tempi molto stretti perche' il suo capo gli stava addosso e lui era in grande difficolta'. Neanche a dirlo, in poco tempo, è riuscito a trovare un addetto che, non solo gli ha dato tutte le informazioni che chiedeva, ma che e' andato anche a visitare un falso sito web della KPMG che Wayne aveva predisposto precedentemente (sarebbe stato quindi possibile infettare la macchina del povero addetto senza che lui se ne accorgesse).

E come Wayne anche gli altri hanno avuto modo di ottenere molte informazioni.

Insomma, un mezzo disastro. Alla faccia delle policy aziendali e dei programmi di awareness proprio sulla sicurezza.

Questa gara, alla fine, ha mostrato come, nonostante la tecnologia abbia fatto passi da gigante e ormai ci si trovi di fronte sistemi sempre piu' sofisticati,il fattore umano sia determinante, in un senso e nell'altro.

Inoltre, nel contesto specifico della sicurezza informatica, l'attaccante ha una serie di vantaggi che molto difficilmente possono essere pareggiati da chi difende e fare leva sul fattore umano puo' diventare davvero una mossa che permette di ottenere un immediato successo.

Sarebbe a questo punto veramente interessante vedere cosa succederebbe se la gara venisse svolta in Italia, chissa a quali informazioni si avrebbe accesso...

Gli organizzatori del Security Summit che ne pensano?
http://www.wikio.it